Мониторинг поведения в антивирусной Microsoft Defender
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
- Microsoft Defender для физических лиц
- Антивирусная программа в Microsoft Defender
Мониторинг поведения — это критическая функция обнаружения и защиты Microsoft Defender антивирусной программы.
Отслеживает поведение процесса для обнаружения и анализа потенциальных угроз на основе поведения приложений, служб и файлов. Вместо того чтобы полагаться исключительно на обнаружение на основе сигнатур (которое определяет известные шаблоны вредоносных программ), мониторинг поведения фокусируется на наблюдении за поведением программного обеспечения в режиме реального времени. Вот что это влечет за собой:
обнаружение угроз Real-Time.
- Непрерывное наблюдение за процессами, действиями файловой системы и взаимодействиями в системе.
- Антивирусная программа Defender может определять шаблоны, связанные с вредоносными программами или другими угрозами. Например, он ищет процессы, внося необычные изменения в существующие файлы, изменение или создание ключей реестра автоматического запуска (ASEP) и другие изменения файловой системы или структуры.
Динамический подход.
В отличие от статического обнаружения на основе сигнатур, мониторинг поведения адаптируется к новым и развивающимся угрозам.
Microsoft Defender антивирусная программа использует предопределенные шаблоны и наблюдает за поведением программного обеспечения во время выполнения. Для вредоносных программ, которые не соответствуют предопределенному шаблону, Microsoft Defender антивирусная программа использует обнаружение аномалий.
Если программа показывает подозрительное поведение (например, пытается изменить критически важные системные файлы), антивирусная программа Microsoft Defender может принять меры для предотвращения дальнейшего вреда и отменить изменения некоторые предыдущие действия вредоносных программ.
Мониторинг поведения расширяет возможности антивирусной программы Defender для упреждающего обнаружения новых угроз, сосредоточившись на действиях и поведении в режиме реального времени, а не полагаться исключительно на известные сигнатуры.
Следующие функции зависят от мониторинга поведения.
Защита от вредоносных программ:
- Индикаторы, хэш файлов, разрешение/блок
Защита сети:
- Индикаторы, IP-адрес или URL-адрес, разрешение или блокировка
- Фильтрация веб-содержимого, разрешение или блокировка
Примечание.
Мониторинг поведения защищен защитой от незаконного изменения.
Чтобы временно отключить мониторинг поведения, чтобы удалить его из изображения, необходимо сначала включить режим устранения неполадок, отключить защиту от незаконного изменения, а затем отключить мониторинг поведения.
Изменение политики мониторинга поведения
В следующей таблице показаны различные способы настройки мониторинга поведения.
Средство управления | Имя | Ссылки |
---|---|---|
Управление параметрами безопасности | Разрешить мониторинг поведения | Эта статья |
Intune | Разрешить мониторинг поведения | Параметры политики антивирусной программы Windows для антивирусной программы Microsoft Defender для Intune |
CSP | AllowBehaviorMonitoring | Поставщик служб CSP политики Defender |
Подключение клиента Configuration Manager | Включение мониторинга поведения | Параметры политики антивирусной программы Windows из Microsoft Defender антивирусной программы для подключенных к клиенту устройств |
Групповая политика | Включение мониторинга поведения | Скачать справочную таблицу по параметрам групповая политика для обновления Windows 11 2023 (23H2) |
PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
WMI | boolean DisableBehaviorMonitoring; | класс MSFT_MpPreference |
Если вы используете Microsoft Defender для бизнеса, см. статью Проверка или изменение политик защиты следующего поколения в Microsoft Defender для бизнеса.
Изменение параметров мониторинга поведения с помощью PowerShell
Чтобы изменить параметры мониторинга поведения, используйте следующую команду:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
True
отключает мониторинг поведения.False
включает мониторинг поведения.
Дополнительные сведения см. в разделе Set-MpPreference.
Запрос состояния мониторинга поведения из PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Если возвращается true
значение , мониторинг поведения включен.
Запрос состояния мониторинга поведения с помощью расширенной охоты
Вы можете использовать расширенную охоту (AH) для запроса состояния мониторинга поведения.
Требуется Microsoft Defender XDR, план 2 Microsoft Defender для конечной точки или Microsoft Defender для бизнеса.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Устранение неполадок с высокой загрузкой ЦП
Обнаружение, связанное с мониторингом поведения, начинается с "Поведение".
При исследовании высокой загрузки ЦП в MsMpEng.exe
можно временно отключить мониторинг поведения, чтобы узнать, продолжаются ли проблемы.
Анализатор производительности для антивирусной программы Microsoft Defender можно использовать для поиска \path\process, процессов и (или) расширений файлов, которые способствуют высокой загрузке ЦП. Затем эти элементы можно добавить в контекстное исключение.
Дополнительные сведения см. в статье Анализатор производительности для антивирусной программы в Microsoft Defender.
Если вы видите высокую загрузку ЦП, вызванную мониторингом поведения, продолжайте устранять неполадки, возвращая каждый из следующих элементов по порядку. Повторно включите мониторинг поведения после отмены каждого элемента, чтобы определить, где может возникнуть проблема.
- обновление платформы
- Обновление обработчика
- обновление аналитики безопасности.
Если у вас по-прежнему возникают проблемы с высокой загрузкой ЦП, обратитесь в службу поддержки Майкрософт и подготовьте данные клиентского анализатора.
Если мониторинг поведения не является причиной проблемы, используйте анализатор производительности для Microsoft Defender антивирусной программы для сбора сведений журнала. Соберите два разных журнала с помощью a -c
и a -a
. Подготовь эти сведения при обращении в службу поддержки Майкрософт.
Дополнительные сведения см. в статье Сбор данных для расширенного устранения неполадок в Windows.